CHƯƠNG 3 TRIỂN KHAI VÀ ĐÁNH GIÁ HỆ THỐNG
3.3 Thiết kế kịch bản thử nghiệm tập luật
3.3.3 Kịch bản tấn công máy chủ Windows [2]
Mô tả: Sau khi thực hiện kịch bản số 1, kẻ tấn công đã chiếm quyền kiểm soát một máy trong mạng, ví dụ máy WIN-JUMP01 và thực hiện dump được thành công các thông tin nhạy cảm. Trong quá trình vận hành hệ thống thì người quản trị thường sẽ tạo ra một máy và tạo các bản sao từ máy đó, dẫn tới thông tin đăng nhập trên các máy có thể sẽ trùng nhau, hoặc là người dùng thường đặt tài khoản, mật khẩu giống nhau trên các máy họ quản lý. Do vậy, khi có được một số tài khoản có quyền truy cập trong mạng, kẻ tấn công có thể thực hiện quét dải mạng và tải mã độc tới các máy đích khác trong mạng. Hắn có thể thực hiện một kịch bản tấn công như sau:
Bước 1: Thực hiện các lệnh do thám thông tin của các máy chủ lân cận, bao gồm các kết nối, các cấu hình hệ thống mạng. Chạy một số lệnh sau:
+) Lệnh: netstat –a, net share, net sessions, … +) Lệnh: arp -a
Khi đó, luật [Windows Discovery] Windows discovery: System network connection và [Windows Discovery] Windows discovery: System network configuration sẽ kích hoạt các cảnh báo tương ứng trên hệ thống SIEM.
Bước 2: Sử dụng tiện ích wmic để thực hiện các lời gọi từ xa tới máy đích dựa trên các thông tin thu thập được. Ví dụ: wmic /user:PC02 /password:abc123
/node:172.21.11.104 process call create
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe –enc malware"
Bước 3: Sử dụng schtask để lập lịch cho các tác vụ mới.
Bước 4: Xoá logs trên máy chủ để che giấu hành vi tấn công.
Ví dụ, trong Security Logs sẽ ghi nhận sự kiện có EventID là 1102 ghi lại hành vi xoá logs trên máy tính.
82